Você está visualizando atualmente Maliciosos Aplicativos Android Se Passam por Google, Instagram, WhatsApp para Roubar Credenciais

Maliciosos Aplicativos Android Se Passam por Google, Instagram, WhatsApp para Roubar Credenciais

Aplicativos Android maliciosos se passando por Google, Instagram, Snapchat, WhatsApp e X (anteriormente Twitter) foram observados roubando credenciais de usuários de dispositivos comprometidos.

“Esse malware usa ícones famosos de aplicativos Android para enganar usuários e induzir vítimas a instalar o aplicativo malicioso em seus dispositivos”, disse a equipe de pesquisa de ameaças da SonicWall Capture Labs em um relatório recente.

O vetor de distribuição para a campanha atualmente é desconhecido. No entanto, uma vez que o aplicativo é instalado nos telefones dos usuários, ele solicita permissões para os serviços de acessibilidade e a API do administrador do dispositivo, um recurso agora obsoleto que fornece recursos de administração do dispositivo no nível do sistema.

Obter essas permissões permite ao aplicativo malicioso controlar o dispositivo, tornando possível realizar ações arbitrárias que vão desde o roubo de dados até a implantação de malware sem o conhecimento das vítimas.

O malware é projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos de execução, permitindo acessar listas de contatos, mensagens SMS, registros de chamadas, a lista de aplicativos instalados; enviar mensagens SMS; abrir páginas de phishing no navegador da web e ativar a lanterna da câmera.

As URLs de phishing imitam as páginas de login de serviços conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.

Um porta-voz do Google confirmou ao The Hacker News que o Google Play Protect, a defesa de malware integrada ao Android, protege automaticamente os usuários de aplicativos contendo versões conhecidas desse malware.

O desenvolvimento ocorre quando a Cyfirma e a Symantec, pertencente à Broadcom, alertaram sobre uma campanha de engenharia social que usa o WhatsApp como vetor de entrega para propagar um novo malware Android, fingindo ser um aplicativo relacionado à defesa.

“Após a entrega bem-sucedida, o aplicativo se instalaria sob a aparência de um aplicativo de Contatos”, disse a Symantec. “Na execução, o aplicativo solicitará permissões para SMS, Contatos, Armazenamento e Telefone e posteriormente se removerá da visualização.”

Também segue a descoberta de campanhas de malware distribuindo trojans bancários Android como Coper, capaz de coletar informações sensíveis e exibir sobreposições de janelas falsas, enganando os usuários a se renderem involuntariamente suas credenciais.

Na semana passada, o Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) revelou que mensagens de smishing estão sendo usadas para direcionar usuários a malwares Android que roubam dados bancários.

A cadeia de ataques aproveita uma técnica chamada ataque de entrega orientado ao telefone (TOAD), na qual as mensagens de SMS instigam os destinatários a ligar para um número em conexão com uma reivindicação de cobrança de dívidas.

Depois que a ligação é feita, o golpista do outro lado informa à vítima que a mensagem é fraudulenta e que ela deve instalar um aplicativo antivírus em seu telefone para proteção.

Eles também instruem o chamador a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança, mas na realidade, é um malware projetado para roubar credenciais de conta bancária online e, em última análise, realizar transferências não autorizadas de fundos.

Embora a cepa exata de malware Android usada no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja Vultr, que foi detalhada pela NCC Group no início do mês passado por aproveitar um processo virtualmente idêntico para infiltrar dispositivos.

Malwares baseados em Android como Tambir e Dwphon também foram detectados na natureza nos últimos meses com várias funcionalidades de coleta de dados de dispositivos, sendo que este último visa telefones celulares de fabricantes chineses e é principalmente destinado ao mercado russo.

“Dwphon vem como um componente do aplicativo de atualização do sistema e exibe muitas características de malware Android pré-instalado”, disse a Kaspersky.

“O caminho exato de infecção não está claro, mas há uma suposição de que o aplicativo infectado foi incorporado ao firmware como resultado de um possível ataque à cadeia de fornecimento.”

Dados de telemetria analisados pela empresa russa de segurança cibernética mostram que o número de usuários de Android atacados por malwares bancários aumentou 32% em comparação com o ano anterior, saltando de 57.219 para 75.521. A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.

“Embora o número de usuários afetados por malwares bancários para PC continue a diminuir, […] o ano de 2023 viu o número de usuários que encontram Trojans bancários móveis aumentar significativamente”, observou a Kaspersky.